Daftar Isi:
Video: Cloud Computing Part 1: Cloud Service Models 2024
Pendekatan bijaksana terhadap keamanan dapat berhasil mengurangi banyak risiko keamanan di lingkungan awan hibrida. Untuk mengembangkan lingkungan hibrida yang aman, Anda harus menilai keadaan strategi keamanan Anda saat ini dan juga strategi keamanan yang ditawarkan oleh penyedia awan Anda.
Menilai keadaan keamanan Anda saat ini
Di lingkungan hibrida, keamanan dimulai dengan menilai keadaan Anda saat ini. Anda mungkin mulai dengan menjawab serangkaian pertanyaan yang dapat membantu Anda membentuk pendekatan Anda terhadap strategi keamanan Anda. Berikut adalah beberapa pertanyaan penting yang perlu dipertimbangkan:
-
Sudahkah Anda mengevaluasi infrastruktur keamanan tradisional Anda sendiri baru-baru ini?
-
Bagaimana Anda mengontrol hak akses terhadap aplikasi dan jaringan - baik yang ada di dalam perusahaan Anda maupun di luar firewall Anda? Siapa yang berhak mengakses sumber daya TI? Bagaimana Anda memastikan bahwa hanya identitas yang benar yang mendapatkan akses ke aplikasi dan informasi Anda?
-
Dapatkah Anda mengidentifikasi kerentanan dan risiko aplikasi web dan kemudian memperbaiki kelemahan?
-
Apakah Anda memiliki cara untuk melacak risiko keamanan Anda dari waktu ke waktu sehingga Anda dapat dengan mudah berbagi informasi terkini dengan mereka yang membutuhkannya?
-
Apakah lingkungan server Anda terlindungi setiap saat dari ancaman keamanan eksternal?
-
Jika Anda menggunakan enkripsi, apakah Anda menjaga kunci Anda sendiri atau mendapatkannya dari penyedia terpercaya dan tepercaya? Apakah Anda menggunakan algoritma standar?
-
Dapatkah Anda memantau dan mengukur risiko keamanan secara real time?
-
Dapatkah Anda menerapkan kebijakan keamanan secara konsisten di semua jenis arsitektur lokal dan awan?
-
Bagaimana Anda melindungi semua data Anda tidak peduli di mana penyimpanannya?
-
Dapatkah Anda memenuhi persyaratan audit dan pelaporan untuk data di awan?
-
Dapatkah Anda memenuhi persyaratan kepatuhan industri Anda?
-
Apa program keamanan aplikasi Anda?
-
Apa rencana bencana dan pemulihan Anda? Bagaimana Anda memastikan kesinambungan layanan?
Menilai keamanan vendor awan Anda
Lingkungan awan hibrida menimbulkan tantangan khusus dalam hal keamanan dan tata kelola. Awan hibrid menggunakan infrastruktur Anda sendiri ditambah dengan penyedia layanan Anda. Misalnya, data dapat disimpan di tempat Anda namun diproses di awan. Ini berarti bahwa infrastruktur lokal Anda mungkin terhubung ke awan publik yang lebih banyak, yang akan mempengaruhi jenis kontrol keamanan yang Anda butuhkan.
Kontrol harus dilakukan untuk keamanan, akses, integritas data, perangkat lunak perimeter, dan sejenisnya - tidak hanya di lokasi Anda, namun juga dengan penyedia awan Anda.Penyedia layanan awan masing-masing memiliki cara sendiri untuk mengelola keamanan. Mereka mungkin atau mungkin tidak kompatibel dengan kepatuhan dan keseluruhan rencana keamanan organisasi Anda. Ini sangat penting bahwa perusahaan Anda tidak mengubur kepalanya di pasir dengan mengasumsikan bahwa penyedia awan memiliki keamanan tertutup.
Anda perlu memverifikasi bahwa penyedia awan Anda memastikan tingkat keamanan yang sama dengan yang Anda minta secara internal (atau tingkat superior, jika Anda ingin memperbaiki keseluruhan strategi keamanan Anda). Anda harus mengajukan banyak pertanyaan sulit untuk menjamin bahwa strategi keamanan dan pengaturan perusahaan Anda dapat diintegrasikan dengan provider Anda.
Berikut adalah beberapa tip yang bisa Anda mulai dan itu juga berguna dalam menilai strategi keamanan Anda:
-
Tanya penyedia awan Anda jenis perusahaan yang mereka layanan. Juga ajukan pertanyaan tentang arsitektur sistem untuk lebih memahami bagaimana multi-tenancy ditangani.
-
Kunjungi fasilitas tanpa pemberitahuan terlebih dahulu untuk memahami tindakan pengamanan fisik yang ada. Menurut CSA, ini berarti berjalan melalui semua area, mulai dari area resepsionis sampai ke ruang generator dan bahkan memeriksa tangki bahan bakar. Anda juga perlu memeriksa keamanan perimeter (misalnya, periksa bagaimana orang mengakses bangunan) dan apakah operator siap menghadapi krisis (misalnya, alat pemadam kebakaran, alarm, dan sejenisnya).
-
Periksa di mana penyedia awan berada. Misalnya, apakah di daerah dengan tingkat kejahatan tinggi atau daerah yang rentan terhadap bencana alam seperti gempa bumi atau banjir?
-
Dokumentasi up-to-date apakah yang dimiliki penyedia awan? Apakah ada rencana respons insiden? Rencana tanggap darurat Rencana cadangan Rencana pemulihan Pemeriksaan latar belakang personil keamanan dan anggota staf lainnya?
-
Sertifikasi macam apa yang dilakukan penyedia? Apakah petugas keamanan awan memiliki sertifikasi seperti CISSP, CISA, dan ITIL?
-
Cari tahu di mana data Anda akan disimpan. Jika perusahaan Anda mematuhi peraturan yang harus dipenuhi tentang data yang berada di luar negeri, ini penting untuk diketahui.
-
Cari tahu siapa yang akan memiliki akses ke data Anda. Juga periksa untuk melihat bagaimana data akan terlindungi.
-
Cari tahu lebih lanjut tentang rencana cadangan dan retensi data penyedia. Anda pasti ingin tahu apakah data Anda digabungkan dengan data lainnya. Jika Anda ingin data Anda kembali saat Anda mengakhiri kontrak Anda, masalah ini mungkin penting.
-
Bagaimana penyedia layanan Anda mencegah serangan denial-of-service (DoS)?
-
Kontrak pemeliharaan macam apa yang dimiliki penyedia Anda untuk peralatannya?
-
Apakah penyedia awan Anda terus memantau operasinya? Dapatkah Anda melihat kemampuan pemantauan ini?
-
Bagaimana insiden terdeteksi? Bagaimana informasi dicatat?
-
Bagaimana insiden ditangani? Apa definisi sebuah kejadian? Siapa titik kontak Anda di penyedia layanan Anda? Apa peran dan tanggung jawab anggota tim?
-
Bagaimana penyedia Anda menangani keamanan aplikasi dan keamanan data?
-
Metrik apa yang Anda monitor penyedia awan untuk memastikan aplikasi tetap aman?
Mengingat pentingnya keamanan di lingkungan awan, Anda mungkin berasumsi bahwa penyedia layanan awan utama akan memiliki seperangkat perjanjian tingkat layanan yang komprehensif bagi pelanggannya. Sebenarnya, banyak perjanjian standar ditujukan untuk melindungi penyedia layanan - bukan pelanggan. Jadi, perusahaan Anda benar-benar harus memahami kontrak serta infrastruktur, proses, dan sertifikasi yang dimiliki penyedia awan Anda.
Anda harus secara jelas mengartikulasikan persyaratan keamanan awan dan strategi tata kelola dan menentukan akuntabilitas. Jika penyedia awan Anda tidak ingin membicarakan item ini, sebaiknya Anda mempertimbangkan penyedia awan yang berbeda. Di sisi lain, penyedia awan Anda mungkin benar-benar memiliki beberapa trik di lengan bajunya yang dapat meningkatkan keamanan Anda sendiri!
